Alternative zu DataGuard für den Mittelstand: Compliance über den DSB hinaus

DataGuard hat sich im deutschsprachigen Markt als kombinierte Datenschutz- und Informationssicherheits-Plattform positioniert und adressiert dabei primär den Datenschutzbeauftragten (Art. 37 DSGVO · § 38 BDSG) sowie den Informationssicherheitsbeauftragten (ISO/IEC 27001:2022 · §§ 30, 38 BSIG). Das Angebot umfasst sowohl eine Software als auch externe Beauftragte im Managed-Service-Modell – ein Ansatz, der für Unternehmen mit überschaubarem Compliance-Scope funktioniert.

Mittelständische Unternehmen mit 100 bis 1.000 Mitarbeitenden in Deutschland stehen jedoch häufig vor einem breiteren Pflichtenprofil: Neben Datenschutz und IT-Sicherheit sind gleichzeitig Bestellpflichten für Arbeitssicherheit (§ 5 ASiG), Brandschutz (DGUV I 205-023), Gefahrstoffe (§ 6 GefStoffV) oder – je nach Branche – Lieferkette (§ 4 LkSG) oder Geldwäsche (§ 7 GwG) zu erfüllen. Dieser Artikel analysiert, ob und wann DataGuard für den Mittelstand ausreicht und welche strukturellen Alternativen die vollständige Beauftragten-Landschaft abbilden.

DataGuard kombiniert eine SaaS-Plattform für Datenschutz- und Informationssicherheitsmanagement mit einem Netzwerk externer Beauftragter. Die Stärke des Angebots liegt in der Tiefe der DSB- und ISB-Funktion: strukturierte Verzeichnisse von Verarbeitungstätigkeiten, DSFA-Workflows, ISO-27001-Readiness-Tools und ein Beraternetzwerk für die Bestellfunktion.

Für Unternehmen, deren Compliance-Anforderungen auf diese zwei Rollen konzentriert sind – typischerweise digitale Dienstleister, Fintech-Unternehmen oder Datenprozessoren – ist dieser Fokus sachgerecht. Die Plattform wurde von Grund auf für diese zwei Disziplinen gebaut und bildet sie entsprechend tief ab.

Die Grenzen zeigen sich, wenn das Unternehmen weitere Beauftragten-Rollen abdecken muss. Ein Pharmaunternehmen mit 400 Mitarbeitenden hat neben DSB und ISB typischerweise einen Hygienebeauftragten (§ 36 IfSG · KRINKO), einen Strahlenschutzbeauftragten (StrlSchG · StrlSchV) und möglicherweise einen ESG-Beauftragten (CSRD · ESRS). Ein Logistiker benötigt zusätzlich den Gefahrgutbeauftragten (§ 3 GbV · ADR). Diese Rollen sind in DataGuard nicht nativ abgebildet – weder als Workspace-Modul noch als Bestellservice.

Das ist kein Versäumnis, sondern eine bewusste Produktentscheidung. Für Mittelständler, die ihr gesamtes Beauftragten-Portfolio in einem System verwalten wollen, entsteht dadurch jedoch ein strukturelles Problem: Sie kombinieren DataGuard für DSB und ISB mit separaten Lösungen für die übrigen Rollen.

Dieser Fragmentierungseffekt ist in der Praxis teuer: unterschiedliche Ansprechpartner, unterschiedliche Berichtsformate und kein übergreifender Audit-Log. Bei einer unternehmensweiten Compliance-Prüfung muss die Geschäftsleitung Nachweise aus mehreren Systemen zusammenführen – ein Aufwand, der sich mit einer integrierten Plattform vermeiden lässt.

Die Zahl der relevanten Beauftragten-Rollen hängt von Unternehmensgröße, Branche und Geschäftsmodell ab. Als Orientierung: Ein produzierendes Gewerbe mit 250 Mitarbeitenden hat in der Regel mindestens sechs bis acht Pflichtbeauftragte. Ein Handelsunternehmen mit 500 Mitarbeitenden kommt auf vier bis sechs. Ein Finanzdienstleister ab 50 Mitarbeitenden auf drei bis fünf.

Die regelmäßig relevanten Rollen im deutschen Mittelstand sind: Datenschutzbeauftragter (Art. 37 DSGVO), Informationssicherheitsbeauftragter (§§ 30, 38 BSIG), Fachkraft für Arbeitssicherheit (§ 5 ASiG · DGUV V2), Brandschutzbeauftragter (DGUV I 205-023 · DIN 14095), und je nach Branche Gefahrstoffbeauftragter (§ 6 GefStoffV), Geldwäschebeauftragter (§ 7 GwG) oder Lieferkettenbeauftragter (§ 4 LkSG).

Hinzu kommen die gesetzlich vorgeschriebenen Schulungspflichten: Jeder Beauftragte muss nicht nur bestellt sein, sondern seine Funktion regelmäßig mit nachweisbarer Qualifikation ausüben. Die DGUV Vorschrift 2 schreibt spezifische Einsatzzeiten der Fachkraft für Arbeitssicherheit vor. Der § 38 BDSG verlangt Fachkunde des Datenschutzbeauftragten. Für den Geldwäschebeauftragten schreibt die BaFin-Auslegungs- und Anwendungshinweise regelmäßige Schulungen vor.

Das bedeutet: Selbst ein kleineres mittelständisches Unternehmen verwaltet in der Summe mehrere Beauftragten-Mandate mit unterschiedlichen gesetzlichen Anforderungen, unterschiedlichen Auditzyklen und unterschiedlichen Berichtslinien. Eine Plattform, die nur zwei davon abdeckt, kann die vollständige Compliance-Dokumentation nicht in einem System konsolidieren.

Prüfen Sie für Ihr Unternehmen konkret: Welche Bestellpflichten bestehen nach aktuellem Recht? Die Antwort hängt von Mitarbeiterzahl, Branche, Betriebsart und Geschäftsmodell ab. Eine vollständige Bestandsaufnahme ist der erste Schritt – unabhängig davon, welche Plattform am Ende gewählt wird. Wer mit einer unvollständigen Liste anfängt, wählt zwangsläufig ein ungeeignetes Werkzeug.

Der Markt für externe Compliance-Unterstützung gliedert sich strukturell in drei Kategorien: datenschutzfokussierte Plattformen (DataGuard, ähnliche DSB-Anbieter), rollenspezialisierte Einzelanbieter (z. B. externe SiFa-Dienste, Brandschutzplanungsbüros, Gefahrstoffberater) und rollenübergreifende Beauftragten-Plattformen.

Die strukturelle Schwäche des Rollenspezialistenmodells zeigt sich bei der Audit-Vorbereitung: Wenn jede Rolle in einem anderen System dokumentiert ist, fehlt die übergreifende Evidenz. Der Prüfer, der den Compliance-Nachweis für das gesamte Unternehmen anfordert, erhält keine konsolidierte Übersicht – sondern muss zwischen fünf verschiedenen Systemen und Ansprechpartnern wechseln.

Für die Entscheidung relevant: Zählen Sie zunächst Ihre tatsächlichen Beauftragten-Rollen. Wenn das Ergebnis zwei Rollen ergibt, ist DataGuard eine sachgemäße Wahl. Wenn es fünf oder mehr sind, beginnt der Vergleich bei einem anderen Ausgangspunkt. Die Vergleichsmatrix hilft dabei, die richtige Anbieterklasse zu identifizieren – bevor man Einzelprodukte gegeneinander stellt. Dieser erste Filter spart Evaluierungsaufwand und führt schneller zur richtigen Anbietergruppe.

Das gesetzliche Beauftragten-Mandat ist kein informelles Arrangement. Es beginnt mit der förmlichen Bestellung: schriftliche Beauftragung, definierte Berichtslinie, Vertretungsregelung bei Abwesenheit. Für den Datenschutzbeauftragten schreibt Art. 37 Abs. 1 DSGVO die förmliche Bestellung vor, für die Fachkraft für Arbeitssicherheit § 5 ASiG, für den Geldwäschebeauftragten § 7 GwG.

Darüber hinaus muss das Mandat operativ gelebt werden: regelmäßige Prüfungen, Schulungen, Berichterstattung an die Geschäftsleitung, Dokumentation von Vorfällen und Maßnahmen. Die Aufsichtsbehörde prüft nicht nur, ob ein Beauftragter bestellt wurde, sondern ob er seine Funktion tatsächlich und nachweisbar ausgeübt hat. Frist läuft ab Kenntnis – und der Nachweis muss rückwirkend abrufbar sein.

Das bedeutet für die Softwareauswahl: Ein System, das nur die Bestellurkunde ablegt, aber die operative Arbeit nicht strukturiert, erzeugt halbfertige Compliance. Ein System, das die operative Arbeit gut strukturiert, aber die formale Bestelldokumentation nicht abbildet, hat dieselbe Schwäche von der anderen Seite.

CIVAC bildet den vollständigen Zyklus ab: Bestellurkunde, Berichtslinie, operative Aufgaben (Aufgaben-Surface), Schulungsnachweise (Schulungs-Surface), Audit-Ergebnisse (Projekte-Surface) und monatliche Dokumentationskonsolidierung (Dokumentations-Surface). Alle sechs Flächen des Workspace greifen ineinander und erzeugen einen revisionssicheren Nachweis-Pfad, der für jede der 25 Rollen die gleiche Logik folgt.

Konkret bedeutet das für die Geschäftsleitung: Ein Anruf der Aufsichtsbehörde führt nicht zu einer mehrstündigen Suche in verschiedenen Systemen. Der Prüfer ruft an, der Nachweis liegt bereit – strukturiert, rollenübergreifend, ohne manuelle Zusammenführung. Das ist der operative Standard, den ein vollständiges Bestellmodell ermöglicht.

DataGuard hat in der DSB-Funktion eine anerkannte Produkttiefe aufgebaut: strukturierte Verzeichnisse von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Datenschutzfolgenabschätzungen (DSFA) nach Art. 35 DSGVO, automatisierte Betroffenenrechte-Workflows nach Art. 15–22, und ein externes Beraternetzwerk für die formale Bestellung nach Art. 37 DSGVO. Das ist sachliche Stärke, die anerkannt werden sollte.

Was in einem datenschutzfokussierten Modell fehlt, sind die Querschnittsfunktionen, die bei einem Prüfbesuch eine Rolle spielen: Wie ist der Datenschutzbeauftragte vernetzt mit dem ISB? Welche Verbindung besteht zwischen dem DSFA-Ergebnis und dem Informationssicherheits-Risikomanagement nach ISO/IEC 27001:2022? Welche Schulungen wurden dem Brandschutzbeauftragten und dem Geldwäschebeauftragten nachgewiesen? Diese Fragen lassen sich aus einem rein datenschutzorientierten System nicht beantworten.

Für Mittelständler, die eine Datenschutzprüfung durch die Landesdatenschutzbehörde oder ein DSGVO-Audit durch einen Geschäftspartner durchlaufen, ist DataGuard sachgerecht. Für Unternehmen, die eine Zertifizierung nach ISO/IEC 27001:2022 anstreben, eine NIS-2-Betroffenheitsprüfung vorbereiten (§§ 30, 38 BSIG) oder einen LkSG-Sorgfaltspflichtennachweis gegenüber dem BAFA erbringen müssen, reicht ein DSB-fokussiertes System strukturell nicht aus.

Ein konkretes Beispiel: Der LkSG-Sorgfaltspflichtennachweis nach §§ 4–10 LkSG erfordert eine dokumentierte Risikoanalyse der Lieferkette, ein Beschwerdesystem und regelmäßige Berichte an das BAFA. Das sind eigenständige Pflichten, die weder in einem DSB-Workspace noch in einem ISB-Tool abgebildet werden können – sondern eine rollenspezifische Struktur für den Lieferkettenbeauftragten erfordern.

DataGuard und CIVAC decken beide DSB und ISB ab – der Unterschied liegt in der Vollständigkeit. Der Informationssicherheitsbeauftragte (ISB) nach §§ 30, 38 BSIG und ISO/IEC 27001:2022 hat eine enge operative Verbindung zum DSB: DSFA-Ergebnisse fließen in das ISMS-Risikomanagement, Datenpannen nach Art. 33 DSGVO müssen innerhalb von 72 Stunden gemeldet werden und lösen gleichzeitig BSIG-Meldepflichten aus, Schulungen zu Informationssicherheit decken teilweise dieselbe Zielgruppe ab wie Datenschutzschulungen.

Eine Plattform, die beide Rollen abbildet und die Verbindungspunkte strukturiert, reduziert den Aufwand erheblich: eine Schulungsveranstaltung kann für beide Rollen dokumentiert werden, ein Sicherheitsvorfall erzeugt automatisch Einträge im DSB-Log und im ISB-Incident-Register, der Jahresbericht enthält Abschnitte für beide Beauftragten-Funktionen.

Der CIVAC-Workspace bildet genau diese Verbindungen ab – nicht als Sonderfunktion, sondern als Grundarchitektur des Systems. Die 93 implementierten Controls nach ISO/IEC 27001:2022 sind mit den DSB-Prüfpunkten verknüpft. Die NIS-2-24/72-Stunden-Meldekette ist als Aufgaben-Template vorinstalliert. Das ISMS ist DSGVO-nativ, nicht nachträglich verknüpft.

Für Mittelständler, die DSB und ISB kombinieren wollen – was gesetzlich zulässig und in der Praxis verbreitet ist – ist die Integration dieser zwei Rollen in einem Workspace ein konkreter operativer Vorteil gegenüber der parallelen Verwaltung in zwei Systemen.

Wichtig dabei: Die Kombination DSB und ISB in einer Person ist nur zulässig, wenn kein Interessenkonflikt besteht. In einem Unternehmen, in dem der potenzielle DSB/ISB gleichzeitig für die IT-Betrieb verantwortlich ist – also die eigene Arbeit kontrollieren würde – wäre das problematisch. Für viele mittelständische Unternehmen ist die Auslagerung beider Funktionen an externe Beauftragte über einen einzigen Anbieter die sauberere Lösung.

DataGuard arbeitet mit einem Subscription-Modell, das sich am Unternehmenstyp und am Leistungsumfang orientiert. Öffentlich zugängliche Preisangaben variieren je nach Anbietermodell und Vertragsgestaltung. Externe DSB-Dienstleistungen werden typischerweise als monatliche Pauschale abgerechnet, die neben der Plattformlizenz anfällt.

Für Mittelständler, die mehrere externe Beauftragte benötigen, entsteht ein kumulativer Kostenvergleich: ein DSB bei einem Spezialisten, ein ISB bei einem anderen, ein externer SiFa über ein Arbeitsschutzdienstleistungsunternehmen, ein Brandschutzbeauftragter über ein Planungsbüro. Die Summe dieser Einzelverträge übersteigt in der Regel die Kosten einer integrierten Plattform mit Netzwerklösung.

Das eigentliche Kostenargument liegt aber nicht im Lizenzpreis, sondern im administrativen Aufwand. Mehrere externe Beauftragte in mehreren Systemen bedeuten: mehrere Ansprechpartner, mehrere Berichtslinien, mehrere Jahresabschlussdokumentationen, mehrere Systempflegen. Für eine Geschäftsleitung ohne eigene Compliance-Abteilung ist das ein erheblicher Zeitaufwand, der in der Praxis oft nicht realistisch abgebildet wird.

Ein integriertes Modell – Workspace-Lizenz für interne Beauftragte plus Bestelldienst für externe – konsolidiert diesen Aufwand in einem System, einem Ansprechpartner und einem Audit-Log. Das ist der sachlich relevante Vergleichswert, nicht der monatliche Lizenzpreis allein.

Kalkulieren Sie beim Plattformvergleich auch die indirekten Kosten: Wie viel Arbeitszeit wird pro Monat für die Koordination externer Beauftragter, die Zusammenführung von Berichten und die Vorbereitung von Prüfungsunterlagen aufgewendet? Diese Stunden sind in keiner Lizenzgebühr abgebildet – aber in einer vollständigen Wirtschaftlichkeitsbetrachtung unverzichtbar.

Unternehmen, die von DataGuard zu einer anderen Plattform wechseln möchten, stehen vor ähnlichen Fragen wie bei jedem Systemwechsel: Was muss migriert werden, was kann neu aufgebaut werden, und wie wird die Kontinuität der Dokumentationskette sichergestellt?

Besonders relevant bei einem DSB-Systemwechsel ist die Übertragung des Verzeichnisses von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Das VVT ist eine laufende Pflicht, die nicht von Null beginnen kann. Abgeschlossene DSFA-Berichte müssen rückwirkend abrufbar bleiben. Schulungsnachweise müssen dokumentiert bleiben, auch wenn die operative Schulungsplattform wechselt.

Ein pragmatischer Migrationspfad: Das neue System wird für alle neuen Aktivitäten genutzt, während Altdaten aus DataGuard im Export-Format oder in einem separaten DMS archiviert werden. Die formale Bestellurkunde des neuen externen Beauftragten ersetzt die des alten ab dem Übergabedatum – wobei der Übergabenachweis selbst dokumentiert sein muss.

CIVAC begleitet den Onboarding-Prozess mit einem strukturierten Zwei-Werktagepfad für die formale Bestellung: Vertrag, Person, Urkunde. Die Beauftragten-Rolle ist damit innerhalb von zwei Werktagen nach Vertragsschluss formal besetzt und dokumentiert – statt nach der klassischen Vorlaufzeit von 2 bis 6 Wochen, die externe Dienstleistungsanbieter häufig benötigen.

Für Unternehmen, die keinen Systembruch wollen, empfiehlt sich eine gezielte Migrationsstrategie: zuerst die neuen Rollen im CIVAC-Workspace einrichten, dann schrittweise die DataGuard-Funktionen ablösen, zuletzt das VVT überführen. Das Risiko eines unkontrollierten Datenschutzvorfalls während der Übergangsphase lässt sich so minimieren.

DataGuard ist eine solide Plattform für Unternehmen, deren Compliance-Anforderungen auf Datenschutz und Informationssicherheit konzentriert sind. Für reine Tech-Unternehmen, Softwareanbieter und Datenprozessoren ohne physische Produktion, Gefahrstoffe oder spezifische Branchenpflichten kann dieser Fokus ausreichen.

Für den deutschen Mittelstand in produzierenden, logistikaffinen, finanz- oder gesundheitsnahen Branchen reicht dieser Fokus strukturell nicht aus. Die Pflichtbeauftragten-Landschaft ist breiter, die Prüfer kommen aus mehr als einer Behörde und das Audit-Log muss mehr als zwei Rollen abbilden.

Die sachliche Entscheidungsfrage lautet: Wie viele Beauftragten-Rollen hat Ihr Unternehmen, und wie viele davon werden extern besetzt? Wer zwei Rollen hat, kann einen spezialisierten Anbieter nutzen. Wer fünf oder mehr Rollen hat und diese in einem System konsolidieren will – intern, extern oder hybrid – braucht eine Plattform, die alle Rollen mit gleicher Tiefe abbildet.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Das CIVAC-Modell als Compliance-Plattform und Officer-as-a-Service ermöglicht beides in einem System, mit einem Audit-Log, einer Berichtslinie für die Geschäftsleitung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Das ist der Maßstab, an dem jede Compliance-Plattform gemessen werden sollte.

Wenn Sie prüfen möchten, welches Modell für die Beauftragten-Landschaft Ihres Unternehmens sachgerecht ist, sprechen Sie das CIVAC-Team an. Ein strukturiertes Erstgespräch hilft dabei, die eigene Ausgangslage zu klären und die passende Kombination aus Workspace-Lizenz und Bestellservice zu definieren. Aus dem Lesen einen Auftrag machen. Kontakt: info@civac.de.